Das Bayerische Landesamt für Datenschutzaufsicht hat letzte Monat eine umfangreiche Prüfliste veröffentlicht, wie man als Unternehmen mit den Werbetool “Custom Audiences” von Facebook umgehen muss, um dieses DSGVO-konform einzusetzen.
In der Nutzung dieser Funktion, in der Form des Hochladens einer eigenen Kundenliste, sah das Landesamt hingegen eine Datenschutzverletzung und verpflichtete Unternehmen zu Löschung dieser eigenen Listen. Der Verwaltungsgerichtshof entschied dazu.
1. Die Übermittlung gehashter E-Mail-Adressen an ein soziales Netzwerk zur Ausspielung zielgerichteter Werbung erfolgt nicht im Rahmen einer Auftragsdatenverarbeitung, wenn der Datenempfänger einen eigenen Entscheidungs- und Ermessensspielraum bei der Ermittlung des zu bewerbenden Kundenkreises hat. (Rn. 11 ff.)2. Sofern keine ausdrückliche Einwilligung des Betroffenen vorliegt, ist über die Rechtmäßigkeit der Weitergabe von E-Mail-Adressen zu Werbezwecken nach § 28 Abs. 1 Nr. 2 BDGS a.F. in unionsrechtskonformer Auslegung durch Interessenabwägung zu entscheiden. (Rn. 26 ff.)
Es ist daher nun anzunehmen, dass zahlreiche Unternehmen, Vermarkter, Agenturen und dergleichen ihre Art und Weise, wie diese mit Facebook-Werbung umgehen und wie diese gezielt bestimmte Werbung an bestimmte Personenkreise ausspielen, schnell überarbeiten müssen.
Relevant ist dabei vor allem folgende Passage in der Entscheidung:
bb) Facebook wird im Rahmen des Dienstes „Custom Audience“ nicht als Auftragsverarbeiter (§ 11 BDSG a.F.) tätig. Das Verwaltungsgericht hat unter Bezugnahme auf die Ausführungen im angegriffenen Bescheid zutreffend festgestellt, dass in der vorliegenden Fallkonstellation kein Auftragsdatenverarbeitungsverhältnis vorliegt und die Weitergabe der gehashten E-Mail-Adressen an Facebook als Übermittlung von Daten an einen Dritten (§ 3 Abs. 8 Satz 2 BDSG a.F.) zu werten ist.
Für die Einordnung als Auftragsdatenverarbeitung kommt es maßgeblich darauf an, wer die Verantwortung für die Verarbeitung der Daten hat. Nur die vollständige Unterordnung bei der Erhebung, Verarbeitung und Nutzung der Daten unter die Vorgaben des Auftraggebers hinsichtlich Mittel und Zweck der Datenverarbeitung berechtigt dazu, die Datenübertragung an einen Auftragsdatenverarbeiter von den gesetzlichen Rechtfertigungsanforderungen an die Weitergabe von personenbezogenen Daten auszunehmen. Die Einschaltung weiterer Arbeitsschritte in den Verarbeitungsvorgang schließt eine Auftragsdatenverarbeitung dann nicht aus, wenn es sich um einfache Algorithmen handelt, die vom Auftraggeber klar definiert werden (Spoerr in Wolff/Brink, a.a.O., § 11 Rn. 38). Auch der Grad der tatsächlich von einer Partei ausgeübten Kontrolle, der den betroffenen Personen vermittelte Eindruck und deren berechtigte Erwartungen aufgrund der Außenwirkung sind in die Bewertung einzubeziehen (Working Paper 169 der Art. 29-Datenschutzgruppe, a.a.O., S. 14). Generell kann von Auftragsdatenverarbeitung ausgegangen werden, wenn sich der Auftraggeber die Entscheidungsbefugnis gegebenenfalls unter Vorgabe ausdifferenzierter Kriterien vorbehält und dem Dienstleister keinerlei inhaltlichen Bewertungs- und Ermessensspielraum einräumt (Gola/Schomerus, Bundesdatenschutzgesetz, 12. Aufl. 2015, § 11 Rn. 9). Anders liegt der Fall jedoch, wenn das beauftragte Unternehmen eigenständig und ohne Vorgaben über die technischen und organisatorischen Mittel der Datenverarbeitung entscheidet (Working Paper 169 der Art. 29-Datenschutzgruppe, a.a.O. S. 19).
So liegt der Fall hier. Wie die Antragstellerin in der Beschwerdebegründung selbst vorträgt, entscheidet Facebook selbstständig unter Auswertung des Nutzungsverhaltens seiner Mitglieder, welche Nutzer der Zielgruppenbestimmung der Antragstellerin entsprechen und folglich beworben werden. Facebook trifft die Auswahl der zu Bewerbenden anhand der nur Facebook bekannten und verfügbaren Profildaten und ist allein in der Lage, die zu bewerbenden Kunden zu ermitteln und die Werbung auszuspielen. Facebook ist – nach Angaben der Antragstellerin – bei der Durchführung des Dienstes und der Auswertung des Verhaltens seiner Nutzer völlig frei. Sie erklärt selbst, auf die Datenerhebungs- und Verarbeitungsprozesse keinen Einfluss zu haben. Die Bewertung, dass Facebook als Auftragsdatenverarbeiter tätig wird, stützt die Antragstellerin ausschließlich auf die Aufspaltung der einzelnen Handlungsschritte des von Facebook angebotenen Dienstes. Da aber, wie ausgeführt, die Dienstleistung „Facebook Custom Audience über die Kundenliste“ unter datenschutzrechtlichen Gesichtspunkten einen einheitlichen Vorgang bildet, der nicht in verschiedene, rechtlich selbständig bewertbare Teile zerlegt werden kann, vermag dies das von der Antragstellerin behauptete Auftragsdatenverhältnis nicht begründen.